IEEE 802.1X

IEEE 802.1Xとは,LANTiếp 続 khi に sử dụng するChứng thựcQuy cách ( chứng thựcVLAN) である. Tiếp 続を nhận めた đoan mạt máy móc bên ngoài がコンピュータネットワークに tham gia しないように chứng thực によって tiếp 続を quy chế する. Có tuyến と vô tuyến の tiếp 続に sử dụng できる kiểm dịch ネットワーク のデータリンク tầngの kỹ thuật である.

IEEE 802.1Xを sử った chứng thực システムは, dưới の も の から cấu thành される.

• サプリカント( Supplicant ) -Chứng thựcクライアント・ソフトウェア. Tiếp 続しようとするパソコンThượng で tất yếu である.
• オーセンティケータ- 802.1Xに đối ứng したLANスイッチ.
• Chứng thực サーバ-Chứng thựcを phán đoán するサーバ.RADIUSまたはDIAMETERChứng thực サーバなど.

Bổn hạng mục ではレイヤ2スイッチやインテリジェント・ハブ, LANスイッチと hô ばれているネットワーク máy móc を “LANスイッチ” と hô ぶ. また, 802.1Xに đối ứng したLANスイッチを “Chứng thực LANスイッチ” と, サプリカント・ソフトウェアを bị えたクライアントPCを “サプリカントPC” と hô ぶ.

IEEE 802.1XはEthernetの chứng thực である の に đối して, RADIUSはIPTrở lên で の chứng thực であり, これらは lẫn lộn されやすいが lấy り tráp うレイヤが dị なる.

IEEE 802.1Xを sử った chứng thực động tác は dưới の 3 đoạn giai からなる.

• Tiếp 続
• EAP ( Extended authentication protocol )による chứng thực
• Chứng thực xong rồi

Có tuyến LAN

Có tuyến tiếp 続 の LANでは, 802.1Xに đối ứng したLANスイッチに đoan mạt であるパソコンが tiếp 続された khi điểm で chứng thực động tác を hành い, そ の đoan mạt にLANへ の tiếp 続を cho phép するかどうかを quyết める.

Vô tuyến LAN

Vô tuyến LANではアソシエーション sau に chứng thực động tác を hành い, そ の đoan mạt にLANへ の tiếp 続を cho phép するかどうかを quyết める.

EAPメッセージを chứng thựcLANスイッチを kinh từ して chứng thực サーバと gì độ かやりとりを giao わすことで, chứng thực を chịu ける. サプリカント の MACフレームは chứng thực LANスイッチによってRADIUSフレームに変 đổi されて chứng thực サーバへ đưa られ, nghịch に chứng thực サーバから phản tin されるRADIUSフレームは chứng thực LANスイッチによってMACフレームへ変 đổi されてサプリカントへ đưa られる. Chứng thực LANスイッチはサプリカントPCから の thông tín は chứng thực サーバへ の も の bên ngoài は chịu け phó けない.

Chứng thực が xong rồi して, sơ めてサプリカントはネットワークに tự do に tiếp 続できるようになる. Chứng thực の chủng loại によっては chứng thực xong rồi khi に chứng thực サーバから chứng thực LANスイッチに ám hiệu kiện の tài liệu や tương ứng LAN の tình báo などが thông tri され, chứng thực LANスイッチからサプリカントにÁm hiệu kiệnが thông tri されることがある.

802.1Xに sử dụng できるEAPはいくつかあるが, サプリカントと chứng thực サーバ の lạng phương が đối ứng している tất yếu がある.

EAP-MD5

EAP-MD5 ( EAP-Message digest algorithm 5 ) はIDとパスワードで chứng thực する phương thức. パスワードはチャレンジ＆レスポンス phương thức で ám hiệu hóa されて truyền tin される. Vô tuyến LANでは an toàn ではない.

EAP-TLS

EAP-TLS ( EAP-Transport layer security ) はデジタル điện tử chứng minh thư を sử って chứng thực する phương thức. IDやパスワードは sử dụng されない.スマートカードやUSBキー (ドングル) と tổ み hợp わせて sử dụng されることが nhiều い. Vô tuyến LANでもほぼ an toàn.

PEAP

PEAP ( Protected EAP ) は mễマイクロソフトXã が khai phát したEAP quy cách でIDとパスワードで chứng thực する phương thức.SSL( Secure Sockets Layer ) と cùng じ ám hiệu hóa kỹ thuật によって chứng thực thông tín toàn thể が ám hiệu hóa されている. Ám hiệu hóa の ために chứng thực サーバにデジタル điện tử chứng minh thư が tất yếu. Vô tuyến LANでもほぼ an toàn.

LEAP

LEAP ( Lightweight EAP ) は mễシスコシステムズXã が khai phát したEAP chế phẩm.

EAP-TTLS

EAP-TTLS ( EAP-Tunneled transport layer security ) は mễ ファンク・ソフトウェア xã ( Funk Software ) が khai phát したEAP chế phẩm.

サプリカントPCと chứng thực LANスイッチは trực tiếp tiếp 続されることが tất yếu であるが, 仮に lạng giả の gian に đừng の ネットワーク máy móc が tồn tại した trường hợp の động tác を dưới に kỳ す.

Thông thường の LANスイッチ

サプリカントが truyền tin するEAPメッセージを hàm んだMACフレームは,マルチキャスト・アドレスで truyền tin されているために, thông thường の LANスイッチではセグメントPhần ngoài にある chứng thực LANスイッチへ転 đưa しない. こ の ため, chứng thực động tác が hành われず, サプリカントPCであるクライアントPCはネットワークに tiếp 続されない.

リピータ・ハブ

サプリカントが truyền tin するEAPメッセージを hàm んだMACフレームは,リピータ・ハブによって chứng thực LANスイッチへ転 đưa される. Chứng thực LANスイッチは đưa り tay sườn にリピータ・ハブが giới ở していることが phán らないため, chứng thực yêu cầu を chịu phó けて, chứng thực tiếp 続 の động tác を bắt đầu する. サプリカントPCが chứng thực を xong rồi してネットワークに tiếp 続された trường hợp に vấn đề となる の は, リピータ・ハブに tiếp 続された hắn の PCは, chứng thực を chịu けずにそ の ままネットワークに tiếp 続が khả năng となることである. Chứng thực LANスイッチ の chứng thực はポート単 vị で hành われているため, そ の 1つ の chứng thực tế みポートに tiếp 続されたリピーター・ハブ の xứng hạ の toàn て の PCがネットワークへ の tiếp 続を hứa されてしまう. ここまでがIEEE 802.1Xで quy định された động tác であるが, これではセキュリティが bảo đảm できないため, thật tế の chứng thực LANスイッチ chế phẩm の nhiều くでは,MACアドレス・フィルタ cơ năng と liền động させて, たとえリピーター・ハブを sử われても chứng thực されたPCをMACアドレスで nhận thức して, hắn の PCをネットワークに tiếp 続することはない.

Nhiều く のネットワーク・プリンタと thiếu し cũ hình のIP điện thoạiはIEEE 802.1Xに phi đối ứng の ため, そ の ままではこれら の máy móc がネットワークに tiếp 続できなくなる. Đối chứng liệu pháp にLANスイッチ の MACアドレス・フィルタ cơ năng を sử ってこれら の máy móc をネットワークに tham gia させることができるが, LANスイッチ の ポートが cố định となるため giả thiết の tay gian がかかるだけでなく, MACアドレスを ngụy trang した bất chính tiếp 続に đối して đại きなセキュリティホールとなり đẩy thưởng できない. ネットワーク・プリンタ chờ の セキュリティ の bảo đảm できない đoan mạt máy móc だけ の ネットワークをVLANによって phân cách するなど の công phu が cầu められる.

Windows 2000SP4 lấy hàng, EAP-TLSとPEAPに đối ứng しており,Windows XPLấy hàng, EAP-MD5, EAP-TLS, PEAPにも đối ứng している.

macOSはサプリカント cơ năng を tiêu chuẩn で nội tàng している.

Bổn quy cách は2001 năm に sơ bản が phát hành された. それ lấy hàng も thêm vào 拡 trương を kinh て sửa bản されており, 2023 năm hiện tại, dưới の bản がある.

• IEEE 802.1X-2001^[1]:"Port-Based Network Access Control" として sơ bản リリース
• IEEE 802.1X-2004^[2]:(タスクグループP802.1aa の phản ánh )
• IEEE 802.1X-2010^[3]:MACsecĐối ứng (タスクグループP802.1af の phản ánh )
  • 802.1Xbx-2014:MACsec拡 trương
  • 802.1Xck-2018:YANGĐối ứng
• IEEE 802.1X-2020^[4]:( thượng nhớ Xbx, Xck の phản ánh )

• “IEEE 802.1X の toàn cảnh” ngày kinh NETWORK 2004 năm 12 nguyệt hào p.82〜p.95

• RADIUS- chứng thực サーバ
• ハッシュ quan số
• Ám hiệu
• Điện tử ký tên
• Ám hiệu lý luận
• Wi-Fi Protected Access(WPA)